摘要 文章從自動(dòng)駕駛汽車的數(shù)據(jù)隱私和安全問題出發(fā)，分析了歐盟的數(shù)據(jù)保護(hù)框架和其在自動(dòng)駕駛汽車行業(yè)中的應(yīng)用，主要參考了歐盟的《通用數(shù)據(jù)保護(hù)條例》（GDPR）中涉及數(shù)據(jù)保護(hù)的數(shù)據(jù)最小化原則、透明性和保密性原則，同時(shí)聚焦歐洲數(shù)據(jù)保護(hù)委員會(huì)有關(guān)處理聯(lián)網(wǎng)車輛中個(gè)人數(shù)據(jù)指南，闡述了數(shù)據(jù)處理的風(fēng)險(xiǎn)和建議，并探討了當(dāng)前歐盟與美國(guó)之間數(shù)據(jù)跨境轉(zhuǎn)移的風(fēng)險(xiǎn)，希望有助我國(guó)汽車行業(yè)理解和遵守歐盟的數(shù)據(jù)保護(hù)規(guī)則，從而在未來可順利進(jìn)入歐盟市場(chǎng)。

關(guān)鍵詞 自動(dòng)駕駛；GDPR；最小化原則；數(shù)據(jù)跨境

中圖分類號(hào) U463.6 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 2096-8949（2023）13-0021-03

0 引言

在科技加速發(fā)展的推動(dòng)下，自動(dòng)駕駛已從科幻小說的構(gòu)想跨越到現(xiàn)實(shí)世界。自動(dòng)駕駛系統(tǒng)由一整套傳感器、信息處理器、軟件和執(zhí)行器集成而成，這些組件使得車輛具備了自主駕駛以及執(zhí)行多樣化任務(wù)的能力[1]。此外，自動(dòng)駕駛工作系統(tǒng)所依賴的一系列成熟技術(shù)，例如視覺攝像頭、全球定位系統(tǒng)、雷達(dá)以及自動(dòng)停車系統(tǒng)，都在其中發(fā)揮著至關(guān)重要的作用。然而在使用這些技術(shù)的過程中，系統(tǒng)將不可避免地對(duì)數(shù)據(jù)進(jìn)行收集和處理。例如，視覺攝像頭收集車輛周圍的圖像和視頻以構(gòu)建實(shí)時(shí)視覺地圖，同時(shí)識(shí)別路標(biāo)、交通信號(hào)、其他車輛、行人和可能的障礙物[2]。全球定位系統(tǒng)則提供車輛準(zhǔn)確的位置信息，協(xié)助車輛確定在地圖上的位置，并進(jìn)行路徑規(guī)劃。一些先進(jìn)的自動(dòng)駕駛系統(tǒng)還會(huì)收集乘客的行為數(shù)據(jù)，如乘客的上下車時(shí)間和常用路線等，以提供更加個(gè)性化的服務(wù)。由此可見，數(shù)據(jù)是自動(dòng)駕駛系統(tǒng)運(yùn)作的關(guān)鍵因素。

歐盟作為傳統(tǒng)汽車工業(yè)發(fā)達(dá)地區(qū)，自2008年以來就著手布局智能汽車產(chǎn)業(yè)領(lǐng)域的發(fā)展[3]。其表現(xiàn)在政策、立法、基礎(chǔ)設(shè)施建設(shè)以及市場(chǎng)培育等方面的全方位布局，為后來者樹立了榜樣。在數(shù)據(jù)保護(hù)方面，歐盟同樣表現(xiàn)出了前瞻性的眼光和決心。通過推行《通用數(shù)據(jù)保護(hù)條例》（GDPR）等一系列數(shù)據(jù)保護(hù)法規(guī)，歐盟不僅對(duì)數(shù)據(jù)市場(chǎng)進(jìn)行了規(guī)范，還對(duì)個(gè)人信息數(shù)據(jù)的安全進(jìn)行了全面保護(hù)。GDPR規(guī)定了數(shù)據(jù)的收集、存儲(chǔ)、處理、使用和銷毀規(guī)則，并對(duì)違反這些規(guī)則的行為進(jìn)行了嚴(yán)厲的處罰。該文將圍繞歐盟對(duì)于自動(dòng)駕駛汽車數(shù)據(jù)的規(guī)范進(jìn)行深入探討。從歐盟的數(shù)據(jù)保護(hù)法規(guī)出發(fā)，剖析其在數(shù)據(jù)保護(hù)、數(shù)據(jù)安全、數(shù)據(jù)跨境轉(zhuǎn)移等方面的具體規(guī)定，同時(shí)，分析歐盟在實(shí)際執(zhí)行這些規(guī)定過程中遇到的挑戰(zhàn)和解決方案，希望通過對(duì)歐盟數(shù)據(jù)保護(hù)規(guī)范的剖析，為我國(guó)自動(dòng)駕駛汽車企業(yè)提供參考，幫助他們?cè)卺槍?duì)歐洲市場(chǎng)的產(chǎn)品開發(fā)中完善數(shù)據(jù)處理策略。

1 個(gè)人數(shù)據(jù)處理的一般原則

個(gè)人數(shù)據(jù)處理的一般原則集中在數(shù)據(jù)的準(zhǔn)確性和最小化原則上。GDPR第5條第1款第d項(xiàng)規(guī)定，個(gè)人數(shù)據(jù)必須是準(zhǔn)確的，如果需要，應(yīng)當(dāng)及時(shí)更新；必須采取所有合理的措施，以便及時(shí)刪除或更正與其處理目的不相符的不準(zhǔn)確數(shù)據(jù)。因此在自動(dòng)駕駛系統(tǒng)中，除非清楚了解為達(dá)到何種目的進(jìn)行數(shù)據(jù)處理，以及使用數(shù)據(jù)的正確性和準(zhǔn)確性，大數(shù)據(jù)技術(shù)是禁止使用的。這使數(shù)據(jù)控制者有義務(wù)進(jìn)行預(yù)先分析，避免漫無目的地使用大數(shù)據(jù)技術(shù)。而與準(zhǔn)確性原則緊密相連的是最小化原則，根據(jù)該原則，個(gè)人數(shù)據(jù)必須與其處理目的相關(guān)，且只在必要時(shí)收集和使用。在自動(dòng)駕駛系統(tǒng)中應(yīng)用最小化原則，意味著必須采用能夠減少處理的總體數(shù)據(jù)量的技術(shù)或算法[4]。GDPR前言第78條也明確提到了最小化原則，作為一種在處理活動(dòng)的設(shè)計(jì)階段就應(yīng)用的標(biāo)準(zhǔn)，它和匿名化一起，使得數(shù)據(jù)控制者能夠保證并證明其符合GDPR的規(guī)定[5]。此外，GDPR第24條要求采取適當(dāng)?shù)募夹g(shù)和組織措施，考慮到對(duì)個(gè)人權(quán)利和自由的風(fēng)險(xiǎn)可能性和嚴(yán)重性[6]。因此，盡管需要使用準(zhǔn)確的數(shù)據(jù)，必要時(shí)更新數(shù)據(jù)，并最小化處理的個(gè)人數(shù)據(jù)量，但控制者必須采取降低對(duì)所有個(gè)人權(quán)利的風(fēng)險(xiǎn)級(jí)別的措施，這些人的數(shù)據(jù)正在被處理，或者將來可能被處理。這在自動(dòng)駕駛系統(tǒng)中會(huì)相對(duì)復(fù)雜，因?yàn)闄C(jī)器會(huì)從提供的數(shù)據(jù)中學(xué)習(xí)，并且通過分析周圍的現(xiàn)實(shí)情況創(chuàng)造新數(shù)據(jù)，繼而在一定程度上自主地作出決策，從而導(dǎo)致數(shù)據(jù)控制者經(jīng)常無法定義所有將要執(zhí)行的處理，在數(shù)據(jù)處理的最后階段可能會(huì)喪失控制。

2 自動(dòng)駕駛系統(tǒng)應(yīng)用的隱私設(shè)計(jì)原則

GDPR的第25條通過隱私設(shè)計(jì)和默認(rèn)原則，定義了數(shù)據(jù)處理者在設(shè)計(jì)處理活動(dòng)時(shí)如何使用個(gè)人數(shù)據(jù)[7]。除了上述最小化原則，該規(guī)定明確提到了匿名化，并一般性地提到了在處理中需要整合的必要保證，以滿足該條例的要求并保護(hù)數(shù)據(jù)主體的權(quán)利。通過這個(gè)闡釋，隱私設(shè)計(jì)成為一個(gè)“開放的概念”，考慮到新技術(shù)將來的發(fā)展，需要?jiǎng)討B(tài)地實(shí)現(xiàn)。這一點(diǎn)在第78條中得到了證實(shí)，其中，在隱私設(shè)計(jì)的范圍內(nèi)，要求數(shù)據(jù)處理者確保對(duì)個(gè)人數(shù)據(jù)的處理和功能的透明度，允許數(shù)據(jù)主體控制他們的數(shù)據(jù)處理，并創(chuàng)建和改善安全措施。兩個(gè)規(guī)定之間的區(qū)別在于，第25條將隱私設(shè)計(jì)的概念擴(kuò)展到GDPR的所有規(guī)定，而第78條則專注于透明度的概念以及數(shù)據(jù)主體控制他們的數(shù)據(jù)使用的權(quán)利。因此在落實(shí)隱私設(shè)計(jì)原則時(shí)，都會(huì)考慮兩個(gè)方面：第一，算法的透明度。必須保證一定程度的算法透明度，以便數(shù)據(jù)主體可以了解涉及他們的個(gè)人數(shù)據(jù)處理。除此之外，根據(jù)GDPR第22條還必須有請(qǐng)求人工干預(yù)的可能性，并能在任何時(shí)候關(guān)閉機(jī)器，甚至是預(yù)防性地關(guān)閉機(jī)器。第二，必須要確?；緳?quán)利（文化多元性等）道德原則[8]。

3 安全措施和數(shù)據(jù)泄露

GDPR的第32條明確規(guī)定了數(shù)據(jù)處理者必須采取適當(dāng)?shù)募夹g(shù)和組織措施來保證處理的安全。第24條也提到了數(shù)據(jù)處理者采取適當(dāng)?shù)募夹g(shù)和組織措施，以確保處理結(jié)果符合相關(guān)規(guī)定。無論哪種情況，評(píng)估數(shù)據(jù)處理者的基礎(chǔ)元素都是風(fēng)險(xiǎn)級(jí)別。此外，GDPR的第32條明確提到了兩種安全措施（加密和匿名化），并包含了其他更具普遍性的目標(biāo)，數(shù)據(jù)處理者需要追求這些目標(biāo)，同時(shí)始終考慮到處理可能帶來的風(fēng)險(xiǎn)級(jí)別。在汽車自動(dòng)駕駛系統(tǒng)中，由于存在人工智能技術(shù)的應(yīng)用，風(fēng)險(xiǎn)評(píng)估不僅需要考慮鏈條中的每個(gè)環(huán)節(jié)，也需要考慮通過人工智能執(zhí)行的所有個(gè)人數(shù)據(jù)處理。此外，安全措施的定義不能忽視對(duì)那些將個(gè)人數(shù)據(jù)轉(zhuǎn)移到鏈條下一個(gè)環(huán)節(jié)的人所采取措施的分析。

在處理數(shù)據(jù)泄露的時(shí)候，GDPR的第33條要求數(shù)據(jù)處理者在知道數(shù)據(jù)泄露后盡快無延誤地通知有管轄權(quán)的監(jiān)管機(jī)構(gòu)，并在可能的情況下，在知道這個(gè)情況后72小時(shí)內(nèi)通知，除非個(gè)人數(shù)據(jù)的泄露對(duì)人的權(quán)利和自由不太可能產(chǎn)生風(fēng)險(xiǎn)。這條規(guī)則在人工智能應(yīng)用中可能存在一定的困難。如上所述，人工智能的應(yīng)用需要一系列對(duì)數(shù)據(jù)緊密相連的處理，該過程通常由不同的數(shù)據(jù)處理者或數(shù)據(jù)處理負(fù)責(zé)人進(jìn)行。個(gè)人數(shù)據(jù)的泄露可以涉及鏈條中的任何一個(gè)環(huán)節(jié)，理論上也可以涉及處理的最后階段，并且對(duì)于中間（或最后）的數(shù)據(jù)處理者來說，很難了解到在先前階段發(fā)生的任何數(shù)據(jù)泄露或丟失。因此，比較好的方案是在內(nèi)部流程環(huán)節(jié)中，參與處理的不同主體應(yīng)該事先定義協(xié)調(diào)規(guī)則，以確認(rèn)和通知可能發(fā)生的個(gè)人數(shù)據(jù)泄露。

4 歐洲數(shù)據(jù)保護(hù)委員會(huì)指南

歐洲數(shù)據(jù)保護(hù)委員會(huì)指南在2021年3月9日發(fā)布了“關(guān)于處理與聯(lián)網(wǎng)車輛和移動(dòng)相關(guān)應(yīng)用中的個(gè)人數(shù)據(jù)的指南01/2020”。該指南指出了智能汽車處理個(gè)人數(shù)據(jù)的主要風(fēng)險(xiǎn)，并提供了一系列針對(duì)數(shù)據(jù)處理負(fù)責(zé)人的建議[9]。

這些指南針對(duì)的是車輛制造商、汽車行業(yè)運(yùn)營(yíng)商、租賃公司、道路基礎(chǔ)設(shè)施管理者等，并涉及所有通過聯(lián)網(wǎng)車輛處理的數(shù)據(jù)，可能還通過與其他設(shè)備（例如智能手機(jī)）的互動(dòng)，直接或間接地與個(gè)人有關(guān)（車主、駕駛員，車上可能的乘客）[10]。只有與用戶無關(guān)的數(shù)據(jù)才不受數(shù)據(jù)保護(hù)法的適用，并被歸類為技術(shù)數(shù)據(jù)（如發(fā)動(dòng)機(jī)轉(zhuǎn)速、燈光狀況等）。例如：行駛的公里數(shù)本身并不構(gòu)成個(gè)人數(shù)據(jù)，但如果與地理位置數(shù)據(jù)相結(jié)合，可能會(huì)揭示數(shù)據(jù)主體的駕駛習(xí)慣。

歐洲數(shù)據(jù)保護(hù)委員會(huì)認(rèn)為當(dāng)前的問題之一是缺乏向數(shù)據(jù)主體提供足夠的信息，清楚地指出處理的目的，以及獲取適當(dāng)?shù)耐猓ㄈ绻枰?。另一個(gè)問題是收集的數(shù)據(jù)可能超過達(dá)到處理目的所需的數(shù)據(jù)，這違反了上述GDPR中規(guī)定的數(shù)據(jù)處理原則[11]。數(shù)據(jù)保護(hù)委員會(huì)還認(rèn)為，另一個(gè)關(guān)鍵問題是連接汽車提供的多功能增加了數(shù)據(jù)保護(hù)的脆弱性，增加了黑客或惡意用戶攻擊的風(fēng)險(xiǎn)。因此，數(shù)據(jù)保護(hù)委員會(huì)提供了一系列建議：首先，關(guān)于個(gè)人數(shù)據(jù)，需要特別注意地理位置數(shù)據(jù)、生物識(shí)別數(shù)據(jù)，以及可能揭示違法行為或道路交通法規(guī)違反的數(shù)據(jù)。例如，關(guān)于前者，可能有特定的圖標(biāo)來通知用戶地理位置系統(tǒng)已激活，應(yīng)允許隨時(shí)禁用此功能。關(guān)于生物識(shí)別數(shù)據(jù)，如果用于車輛的開啟/關(guān)閉，需要為數(shù)據(jù)主體提供替代方案，例如通過鑰匙或訪問代碼，并預(yù)設(shè)加密這些數(shù)據(jù)，不能以任何方式轉(zhuǎn)移給第三方；其次，關(guān)于安全方面，加強(qiáng)匿名化技術(shù)的應(yīng)用，包括將數(shù)據(jù)傳輸給第三方的情況下的匿名化技術(shù)，以及允許減少處理相關(guān)風(fēng)險(xiǎn)的匿名化技術(shù)；最后，為了讓數(shù)據(jù)主體行使GDPR賦予的權(quán)利，指南建議設(shè)定特定的工具，例如在車輛內(nèi)部實(shí)現(xiàn)一個(gè)配置管理系統(tǒng)，集中所有與數(shù)據(jù)處理相關(guān)的設(shè)置，從而使數(shù)據(jù)主體能夠方便地請(qǐng)求訪問或刪除。

5 數(shù)據(jù)跨境所帶來的風(fēng)險(xiǎn)

在歐洲關(guān)于自動(dòng)駕駛系統(tǒng)將個(gè)人數(shù)據(jù)轉(zhuǎn)移到歐盟以外的挑戰(zhàn)更加嚴(yán)峻。將個(gè)人數(shù)據(jù)轉(zhuǎn)移到歐洲經(jīng)濟(jì)區(qū)（SEE）以外的第三國(guó)或國(guó)際組織受到GDPR第五章（第44～50條）的規(guī)范。在該章節(jié)中，要求采取特定的機(jī)制，以確保在數(shù)據(jù)轉(zhuǎn)移后建立適當(dāng)?shù)臄?shù)據(jù)保護(hù)水平。以歐盟和美國(guó)為例，在美國(guó)法律制度下對(duì)數(shù)據(jù)的保護(hù)程度與歐盟的保護(hù)制度形成鮮明對(duì)比。有關(guān)美歐之間的數(shù)據(jù)轉(zhuǎn)移曾經(jīng)基于兩者達(dá)成的安全港協(xié)議和隱私盾協(xié)議。然而，歐洲法院在Schrems案中宣布了這兩個(gè)協(xié)議的適用決定無效；并且在第二個(gè)判決（即Schrems II案）中，法院特別指出，執(zhí)行決定（EU）2016/1250（即隱私盾決定）與GDPR不相容。同時(shí)，法院指出基于安全港原則的數(shù)據(jù)轉(zhuǎn)移決定并未為相關(guān)方設(shè)定任何限制或保障措施[12]。

因此，個(gè)人數(shù)據(jù)的出口商必須主要且獨(dú)占地依賴GDPR第46條及其后續(xù)條款中規(guī)定的其他法律工具。首先是根據(jù)第49條的例外規(guī)定，即規(guī)定當(dāng)數(shù)據(jù)跨境為數(shù)據(jù)主體與數(shù)據(jù)控制者之間履行合同、重要公共利益目的、建構(gòu)、行使或辯護(hù)法律上之請(qǐng)求、保護(hù)無法表示同意的數(shù)據(jù)主體之重要利益等所必需時(shí)，允許個(gè)人信息出境。然而可以看出，這些例外規(guī)定的適用性僅僅是殘余的，并受到多個(gè)條件的限制。在GDPR下，另一個(gè)可行的選擇是通過標(biāo)準(zhǔn)合同條款和企業(yè)約束規(guī)則來進(jìn)行數(shù)據(jù)轉(zhuǎn)移。然而，正如歐洲數(shù)據(jù)保護(hù)委員會(huì)指出的那樣，這兩種規(guī)則只有在出口商進(jìn)行個(gè)案評(píng)估的基礎(chǔ)上，并考慮到數(shù)據(jù)轉(zhuǎn)移的具體情況和可能采取的補(bǔ)充措施后才能成為有效的法律依據(jù)。在沒有有效的適當(dāng)性決定的情況下，對(duì)于法院而言，類似“補(bǔ)充措施”這樣的私法工具不能約束目的地國(guó)家，更無法根據(jù)GDPR提供足夠的保護(hù)。這是在實(shí)踐中需要注意的地方。

6 結(jié)語

自動(dòng)駕駛汽車通過其先進(jìn)的技術(shù)，已經(jīng)在提供更高的汽車安全性和提高用戶舒適度方面取得了顯著的成效。然而，伴隨這些創(chuàng)新，同時(shí)也帶來了諸多挑戰(zhàn)，特別是在數(shù)據(jù)隱私和安全方面。由于車輛的智能化和網(wǎng)絡(luò)化，使得大量數(shù)據(jù)產(chǎn)生，駕駛員和乘客之間的聯(lián)系越來越緊密，數(shù)據(jù)保護(hù)和隱私問題成為制造商和安全供應(yīng)商需要著重關(guān)注和解決的重要問題。

在全球范圍內(nèi)，歐盟在數(shù)據(jù)保護(hù)方面一直處于領(lǐng)先地位，其建立的數(shù)據(jù)保護(hù)規(guī)則，如GDPR，為其他國(guó)家和地區(qū)提供了參考模板。同時(shí)，歐洲的地理?xiàng)l件和基礎(chǔ)設(shè)施也使得自動(dòng)駕駛汽車在此地區(qū)的實(shí)施更為方便。然而，這也要求相關(guān)公司必須深入理解并遵守歐盟的數(shù)據(jù)保護(hù)規(guī)則，才能真正地進(jìn)入并在歐盟市場(chǎng)站穩(wěn)腳跟。為了在歐盟市場(chǎng)中取得成功，企業(yè)必須能夠保證處理的數(shù)據(jù)量只限于必要，同時(shí)保持透明度，向用戶明確說明收集數(shù)據(jù)的目的，以及數(shù)據(jù)將如何被使用。此外，他們還需要確保數(shù)據(jù)的安全，防止數(shù)據(jù)被黑客攻擊或用于惡意用途。

因此，盡管自動(dòng)駕駛汽車的普及帶來了諸多挑戰(zhàn)，但只要我國(guó)相關(guān)企業(yè)能夠深入理解并遵守歐盟的數(shù)據(jù)保護(hù)規(guī)則，便能在進(jìn)入歐盟市場(chǎng)時(shí)避免由于數(shù)據(jù)安全問題帶來的不必要的法律糾紛和懲罰性措施。

參考文獻(xiàn)

[1]陳天殷. 人工智能時(shí)代汽車傳感器的現(xiàn)狀與展望[J]. 汽車電器， 2018（7）： 14-19.

[2]Johnstone B. 為什么視覺系統(tǒng)對(duì)自動(dòng)駕駛至關(guān)重要[J]. 電子產(chǎn)品世界， 2020（8）： 11+43.

[3]廖金龍. 基于高精度地圖的智能車輛路徑規(guī)劃與跟蹤控制研究[D]. 成都：西華大學(xué)， 2022.

[4]錢林葉. 自動(dòng)駕駛數(shù)據(jù)安全風(fēng)險(xiǎn)與法律保護(hù)[J]. 中國(guó)信息化， 2023（4）： 65-67.

[5]歐洲數(shù)據(jù)保護(hù)監(jiān)督機(jī)構(gòu)（EDPS）隱私設(shè)計(jì)保護(hù)意見綜述與簡(jiǎn)評(píng)[EB/OL]. http： //www. lmdna. com/news/28. html.[6]通用數(shù)據(jù)保護(hù)條例第24條[EB/OL]. https： //gdpr-info. eu/art-24-gdpr/.

[7]通用數(shù)據(jù)保護(hù)條例第25條[EB/OL]. https： //gdpr-info. eu/art-25-gdpr/.

[8]陳欣， 金權(quán). 我國(guó)醫(yī)療人工智能侵權(quán)規(guī)制的演進(jìn)、特征及難點(diǎn)探析[C]//上海市法學(xué)會(huì). 《上海法學(xué)研究》集刊2023年第6卷——2023年世界人工智能大會(huì)青年論壇論文集， 2023：224-236.

[9]周千荷， 呂堯， 李霖， 等. 關(guān)于歐盟《車聯(lián)網(wǎng)個(gè)人數(shù)據(jù)保護(hù)指南》的幾點(diǎn)思考[J]. 智能網(wǎng)聯(lián)汽車， 2021（2）： 64-67.

[10]車聯(lián)網(wǎng)數(shù)據(jù)安全監(jiān)管制度研究報(bào)告[EB/OL]. https： //assets. kpmg. com/content/dam/kpmg/cn/pdf/zh/2022/03/data-security-regulations-internet-vehicles-2022. pdf.

[11]Schellekens， Maurice. Data from connected cars for the public cause [J]. Computer Law amp; Security Review ， 2022（45）： 105671.

[12]The Definitive Guide to Schrems II[EB/OL]. https： //www. dataguidance. com/resource/definitive-guide-schrems-ii.